アップビットでの3,000万ドルハッキング受け、韓国が仮想通貨取引所に銀行並みの賠償責任を課す方針

韓国は、Upbit's $30 million security breachを受けて、仮想通貨取引所に対し銀行と同水準の無過失責任基準を課し、規制監督を既存の金融機関に合わせる方向で準備を進めている。

金融委員会は、ハッキングやシステム障害の原因にかかわらず、取引所に利用者への損失補償を義務づける条項を検討していると、The Korea Timesによればされている。

この規制強化の動きは、韓国最大の仮想通貨取引所アップビットで11月27日に発生した事件を受けたものだ。同社では、1時間足らずの間に総額445億ウォン相当の1,040億を超えるSolanaベースのトークンが外部ウォレットへ送金された。

何が起きたのか

アップビットは11月27日午前4時42分頃、SOL、USDC、BONK、RENDERなどのSolanaネットワーク資産が不審な出金として不明なアドレスへ移動していることを検知した。

取引所は、不正送金を検出すると同時に入出金を即時停止した。

アップビットの親会社であるDunamuは、顧客損失が約386億ウォンに達し、さらに23億ウォンが凍結されたと明らかにした。

取引所は、すべての損失を自社の準備金から補填すると約束した。

この侵害は、報告の遅れをめぐり政治的な批判も招いた。

ハッキングは午前5時過ぎに検知されていたにもかかわらず、アップビットが金融監督院に通報したのは午前10時58分であり、6時間以上が経過していた。

与党議員らは、Dunamuが午前10時50分に完了したネイバーファイナンシャルとの予定された合併が終わるまで、意図的に情報開示を遅らせたと主張している。

この103億ドル規模の株式交換は、韓国最大級のフィンテック統合案件の一つとなる。

緊急監査では、アップビットの内部ウォレットシステムに脆弱性が見つかり、攻撃者がブロックチェーンtransactionsを解析することで秘密鍵を導き出せた可能性があることが判明した。

韓国当局は、2019年の侵害と類似した手口から、北朝鮮のラザルス・グループが今回の攻撃を主導したとみている。

この事件は、アップビットが北朝鮮の国家支援ハッカーによるものとされるハッキングで34万2,000ETHを失った日から、ちょうど6年後に発生した。

提案されている新たな規制枠組みは、無過失補償を義務づけることで、韓国の仮想通貨業界における責任の在り方を根本から変える可能性がある。この基準は現在、電子金融取引法の下で銀行や電子決済事業者にのみ適用されている。

金融監督院のデータによれば、主要5取引所であるアップビット、Bithumb、Coinone, Korbit、Gopaxでは、2023年から2025年9月までに20件のシステム障害が発生し、900人超の利用者に合計50億ウォンを超えるlossesが生じた。

アップビットだけで6件が発生し、600人の顧客に30億ウォンの損害が出ている。

議員らは、ハッキングが発生した場合に年間売上高の最大3％まで罰金を科せるよう、従来の金融機関と同水準となる法改正を検討している。

現行制度では、仮想通貨取引所への罰金は最大50億ウォンにとどまる。

法案の草案には、ITセキュリティインフラ計画の義務化、システム基準の高度化、そして大幅に強化された制裁措置が盛り込まれる見通しだ。

これにより、取引所は銀行レベルのサイバーセキュリティ対策を導入し、潜在的な顧客損失をカバーできる十分な準備金を維持することが求められる。

韓国の金融情報分析院（FIU）は以前、マネーロンダリング防止規則違反により、Dunamuに352億ウォンの罰金と新規顧客onboardingに対する3カ月の停止処分を科している。

同院は、約530万件の顧客確認不備と、15件の未報告の疑わしい取引を検査で発見した。

当局は同時に、暗号資産トラベルルールの適用範囲を100万ウォン未満の取引にも拡大し、送金を分割することで本人確認をevasionできていた抜け穴を塞ごうとしている。

金融情報分析院は、重大事案では事前に口座を凍結できる権限も付与される見通しだ。

金融監督院のLee Chan-jin院長は、現行法制のもとでは「規制監督には制裁を科すうえで明確な限界がある」と述べ、現在の規制の制約を認めた。

今回の改革は、包括的なデジタル資産枠組みを整備した主要国に韓国が対抗できるよう、こうしたギャップを埋めることを目的としている。

法改正は2026年上半期に予定されており、韓国は金融活動作業部会（FATF）との連携を拡大しながら、世界標準との整合性を図る方針だ。